16字元密碼很安全? 1小時破解!

根據外電報導,網路密碼設得愈長、愈複雜,不見得安全無虞。科技網站舉行駭客實驗,即使長達 16 字元的無規律字串密碼,駭客也能在一小時內破解。科技網站提供 16000 多個密碼,最厲害的駭客總共破解近 15000 個。

Ars Technica 網站副主編安德森是新手駭客,3 月間從某網站下載 16449 個雜湊碼 (hash) 練習,幾小時內就破解 47%。

所謂雜湊是指原始密碼以單向函數處理成一串包含數字和字母的特徵碼,例如原始密碼 arstechnica 轉換後會變成 c915e95033e8c69ada58eb784a98b2ed。

安德森覺得,連他這種菜鳥都能破解近五成密碼,高手的成功率豈不是更高?於是請三位專家破解同樣的 16449 個雜湊碼。三位專家的成功率最高達 90%,最低的也有 62%。

Stricture 顧問公司的創辦人兼執行長葛斯尼 16 分鐘就破解 10233 個「簡單的」雜湊碼,成功率 62%。20 小時後,他的破解率已達 90%。

密碼破解軟體oclHashcat-plus 的主要研發者史托比一個多小時破解 1 萬 3486 個雜湊碼,成功率 82%。化名 radix 的駭客成績較遜,在一小時左右破解 62% 雜湊碼,但他如果未在嘗試過程中接受採訪,成果應該更好。

駭客破解密碼為何似乎不難?主要原因是實驗用的雜湊碼來源網站採用 MD5 演算法,而且密碼主人設定的密碼字元非隨機排列。不過,隨著駭客使用的軟硬體愈來愈強,事實證明即使是 qeadzcwrsfxv1331、n3xtb1gth1ng 這樣看似安全的密碼,還是會被破解。(UDN)

發表迴響